WISP -书面信息安全程序

皇冠体育书面信息安全项目

(注:斜体文本表示与最新版本相比有重大变化)

1.0政策声明

皇冠体育书面信息安全计划(“WISP”)旨在作为一套全面的指导方针和政策，旨在保护学院维护的所有机密和受限数据, 并遵守有关个人信息保护的适用法律法规和 非公开财务信息，这些术语的定义见下文，可在学院所有的记录和系统中找到.

2.0概述 & 目的

实施WISP是为了遵守马萨诸塞州联邦颁布的法规，题为“联邦居民个人信息保护标准”[201 Code Mass]. 海军学校规则. 17.00], 并由联邦贸易委员会[16 CFR第314部分], 以及我们在联邦《皇冠体育官网》(“GLB”)中金融客户信息安全条款下的义务[15 USC 6801(b)和6805(b)(2)].

根据这些联邦和州的法律法规, 皇冠体育必须采取措施保护个人身份信息, 包括财务信息, 并向受影响的个人和适当的州机构提供有关大学受保护信息安全漏洞的通知.

皇冠体育致力于保护其维护的所有敏感数据的机密性, 包括在学院工作或学习的个人信息. 皇冠体育已经实施了一些政策来保护这些信息, 和WISP应与本文件末尾交叉引用的这些政策一起阅读.

本文件的目的是:

为皇冠体育建立一个全面的信息安全计划，包括旨在保护学院维护的敏感数据的政策, 遵守联邦和州法律法规;
Establish employee responsibilities in safeguarding data according to its classification level; 和
建立行政、技术和物理保障措施，确保敏感数据的安全.

3.0范围

这个项目适用于皇冠体育的所有员工, 无论是全职还是兼职, 包括教师, 行政人员, 工会工作人员, 合约及临时工, 聘请顾问, 实习生, 学生雇员, 以及皇冠体育社区(以下简称“社区”)的所有其他成员. 本程序也适用于某些合同第三方供应商(见第4节).(6). 本程序所涵盖的数据包括存储的任何信息, 在学院使用或收集，或用于学院的运作. WISP不打算取代任何现有的卫尔斯理学院政策，该政策包含保护某些类型数据的更具体要求, 个人信息和非公开财务信息除外, 定义如下. 如果该策略存在并且与WISP的要求相冲突, 另一个策略优先.

3.1定义

Data

用于本文档的目的, 数据是指存储的信息, 在学院访问或收集有关学院社区成员的信息.

数据保管

数据管理员负责维护支持访问数据的技术基础设施, 安全保管, 数据的传输和存储，并为其使用提供技术支持. 数据管理员还负责实现由数据管理员建立的业务规则.

数据管理员

数据管理员负责数据内容和相关业务规则的开发, 包括授权访问数据.

个人信息

个人信息(“个人信息”)，根据马萨诸塞州法律(2011 CMR 17)的定义.00), 是一个人的名字和姓氏或名字的首字母和姓氏与以下任何一项或多项的组合:

社会保险号码;
开车r’s license number or state-issued identification card number; or
财务账号(e.g. 银行账户)或信用卡或借记卡号码，这些号码将允许访问一个人的金融账户, 不管有没有必要的安全码, 访问代码, 个人识别号码, 或密码.

为本计划之目的, PI还包括护照号码, 外国人登记号码或其他政府签发的身份证明号码.

非公开财务信息

GLB法案(FTC 16 CFR Part 313)要求保护“客户信息”。, 适用于任何包含有关学生或与学院有关系的其他第三方的非公开财务信息(“NFI”)的记录, 无论是在纸上, 电子或其他形式, 由学院或代表学院处理或维护的. 为此目的，NFI应包括任何信息:

学生或其他第三方为获得学院的金融产品或服务而提供的;
皇冠体育 a student or other third party resulting from any transaction with the College involving a financial product or service; or
与向学生或其他第三方提供金融产品或服务有关的其他信息.

NFI的例子包括:

消费者在申请贷款时向您提供的信息, 信用卡, 或其他金融产品或服务;
账户余额信息, 付款历史, 透支的历史, 以及信用卡或借记卡的购买信息;
个人是或曾经是您的客户之一，或从您那里获得金融产品或服务的事实;
有关您的消费者的任何信息，如果披露的方式表明该个人是或曾经是您的消费者;
消费者向您提供的或您或您的代理人以其他方式获得的与收集有关的任何信息, 或维修, 信用账户;
Any information you collect through an Internet “cookie” (an information collecting device from a web server); 和
来自消费者报告的信息.

3.2数据分类

本政策所涵盖的所有数据将分为以下三类之一, 基于每个所需的安全级别, 从最高级别开始.

Confidential

机密数据是指未经授权访问的任何数据, 使用, 更改或披露这些数据可能会给皇冠体育或社区带来重大风险. 机密数据应以最高的安全级别处理，以确保该数据的隐私性并防止任何未经授权的访问, 使用, 变更或披露.

机密数据包括受以下联邦或州法律法规保护的数据: 201 cmr17.00(群众安全条例), 16 CFR 313(消费者金融信息隐私), 联邦格雷姆-里奇-比利利法案, 1996年健康保险流通与责任法案(HIPAA), 以及联邦贸易委员会的红旗规则. 受这些法律保护的信息包括, 但不限于, PI, NFI和受保护的健康信息(φ).

限制

限制性数据是指所有其他个人和机构数据，这些数据的丢失可能损害个人隐私权或对财务产生负面影响, 皇冠体育的运作或声誉. 任何未明确指定为机密的非公开数据应被视为限制数据.

受限制的数据包括受家庭教育权利和隐私法案(FERPA)保护的数据, 称为学生教育记录. 这些数据还包括, 但不限于, 捐赠者的信息, 皇冠体育人类受试者的研究数据, 知识产权(专有研究), 专利, 等.), 大学财务和投资记录, 员工工资信息, 或有关法律或纪律事宜的资料.

受限制的数据应限于皇冠体育的雇员或毕业生以及有合法理由访问此类数据的个人访问, 受FERPA或其他适用法律或学院政策的约束. 应该对这种分类应用合理的安全级别，以确保该数据的隐私性和完整性.

公众(或无限制)

公共数据包括发布不受限制的任何信息, 并且这些数据的丢失或公开使用不会对皇冠体育或皇冠体育社区成员造成任何伤害. 任何未被分类为机密或限制的数据应被视为公共数据.

4.0的政策

4.1)责任

学院的所有数据都根据其所代表的选区分配给数据管理员. 数据管理员负责批准所有访问此类数据的请求. 各选区组的资料管事人员如下:

数据类型	数据管理员*
教师	教务长
工作人员	财务和行政副总裁
学生	由教务长、招生主任、招生和经济援助主任共享
皇冠体育官网	校友会执行理事

*资料管事可委任一名指定人员代替其职务.

图书馆和技术服务(LTS)的工作人员作为数据保管人的所有数据集中存储在学院的服务器和管理系统, 并对这些数据的安全负责. 用于存储在部门服务器上的分布式数据, 数据保管人由部门负责人或其指定人员担任, LTS和部门共同承担保护数据的责任.

人力资源部将在雇员离开学院前尽快通知学院职员有关雇员身份的改变或解雇事宜. 状态的变化可能包括终止, 休假, 职位职责发生重大变化, 调到其他部门, 或任何其他可能影响员工访问大学数据的更改. 有关帐户终止的详细信息，请参阅电子内容管理政策.

部门主管将在合同结束时通知LTS，不被认为是皇冠体育员工的个人，以终止对其皇冠体育账户的访问.

LTS安全团队负责维护、更新和实施本计划. 学院的首席信息官(CIO)全面负责该计划.

社区的所有成员都有责任维护上述定义的所有敏感数据的隐私和完整性, 并且必须保护数据不被未经授权的使用, 访问, 披露或变更. 社区的所有成员都必须访问, 按照本计划存储和维护包含敏感数据的记录.

4.2高校信息风险的识别与评估

皇冠体育认识到，学院信息的隐私和完整性存在内部和外部风险. 这些风险包括但不限于:

非机密资料拥有人擅自存取机密资料
由于未经授权的人员访问系统而危及系统安全性
在传输过程中截取数据
数据完整性丢失
灾难中物理数据的丢失
引入系统的错误
数据或系统的损坏
员工未经授权访问机密数据
未经授权请求机密数据
通过硬拷贝文件或报告进行未经授权的访问
未经授权通过第三方传输机密数据

皇冠体育认识到，这可能不是与保护机密数据相关的风险的完整列表. 由于技术增长不是静态的，新的风险会定期产生. 相应的, LTS将积极参与并监督教育安全研究所等咨询团体, 第二代互联网安全工作组和SANS，以识别新的风险.

皇冠体育认为，学院目前的保障措施是合理的, 根据LTS目前的风险评估, 足以保障学院所保存的机密资料的安全及Confidential. 另外, 这些保障措施防止当前预期的对此类信息完整性的威胁或危害.

4.3Confidential数据保护政策

保护学院的机密资料, 下列政策和程序已制订，涉及记录的存取、储存、运输和销毁. 有关存储指南的概述，请参见数据存储指南.

访问 & 存储

只有那些在正常工作过程中需要访问机密数据的员工或授权第三方才被授予访问该数据的权限, 包括物理和电子记录.
在可能的范围内 所有包含机密资料的电子纪录只应储存 在Vault(学院的校园安全网络存储) 而不是在本地机器或不安全的服务器上.
φ 可以通过Google Apps核心套件(包括Mail, 开车, 组, 网站, 聊天)，因为这些应用程序符合HIPAA认证, 只要对φ的访问受到适当限制. 这并不适用于谷歌的消费者应用程序，如Google+、Hangouts等.
马萨诸塞州PI和NFI不得存储在任何谷歌应用程序.
机密数据不得存储在学院不支持的基于云的存储解决方案中(包括DropBox), 微软One开车, 苹果的iCloud, 等.).
社会成员强烈建议不要将机密数据存储在笔记本电脑或其他移动设备上(例如.g.、闪存盘、智能手机、外置硬盘). 然而, 如有必要以电子方式传送机密资料, 包含数据的移动设备必须加密.
包含机密数据的纸质记录在不使用时必须保存在上锁的文件或其他安全区域.
终止与皇冠体育的雇佣或关系, 电子和物理访问文件, 包含机密数据的系统或其他网络资源被立即终止. (见管理电子内容政策了解更多信息.)

传输机密数据

强烈反对社区成员将包含机密数据的记录移出校园. In 很少有必要这样做, 用户必须采取一切合理的预防措施来保护数据. 在任何情况下都不是文件, 电子设备, 或包含机密数据的数字媒体被遗弃在任何不安全的地方.
当有合法需要向卫尔斯理学院以外的第三方提供包含机密数据的记录时, 电子记录必须有密码保护和/或加密, 书面记录应当标明Confidential，并妥善封存.

销毁机密资料

一旦商业用途不再需要包含机密数据的记录，就必须销毁, 除非州或联邦法规要求在规定的时间内保存这些记录.
包含机密数据的纸质和电子记录必须以防止数据恢复的方式销毁. 马萨诸塞州普通法第93I条指定包含PI的记录必须销毁的方式.

携带学生个人信息出国旅游

如果酒店或国外项目在旅行前要求传递学生护照信息, 只提供所要求的有关资料(e.g., 名字, 护照号码, 到期日期, 及出生日期), 护照图片复印件不完整. 此信息应首先通过传真传送 或透过电子传真保安网站(SSL), 前提是安排旅行的皇冠体育部门在实际数据之前通过发送初步确认信息来确认传真号码的准确性. 如果传真不可用, 数据可以通过韦尔斯利的电子邮件发送, 前提是发生了同样的传播确认.
需要保留这些护照号码以安排旅行的教职员工将把这些数据存储在电子表格中，并保存在学院的安全保险库服务器上. 任何包含学生护照信息的电子表格都应该在不再需要时被电子表格所有者例行删除.
与学生一起出国旅行的教师/工作人员需要学生护照和签证信息以办理酒店入住手续，他们将只保留包含相关信息(如护照和签证号码及其有效期)和学生姓氏的纸质记录. 教职员工不得保留或携带学生护照的复印件旅行.
在涉及到偏远地点旅行的极端情况下，在那里获得技术的机会将受到限制，并且将禁止找回丢失的护照, 项目主管可以申请豁免，允许他或她在旅行期间保留学生的护照副本. 此请求将提交首席信息官批准. 如果申请被批准，项目主管将签署“教职员工携带安全数据旅行协议“承认他们对WISP的理解以及他们保护护照的责任. 项目主管还同意，如果护照复印件丢失，将立即通知LTS.

4.4保护受限数据的策略

对受限制数据的访问应仅限于对数据有合法业务需求的社区成员.
受限制的数据可以存储在Google Apps、Sakai、NTM和Vault上.
受限制的数据可以存储在学院不支持的基于云的存储解决方案上，只要这些解决方案符合管理此类数据保护的任何法律的要求(例如.g.FERPA).
包含受限数据的文件不应公开发布.

4.5密码要求

为了保护学院的数据, 所有社区成员必须按照以下准则选择唯一的密码:

至少有8个字符
包含至少三种字符类型的组合:大写字母和小写字母, 数字, 和特殊字符(e.g., @ $ # !)
不包含任何语言的单词，俚语，方言，行话等.，即使它们之间用数字或特殊字符(e.g.be87gin)
不包含重复字符或键盘字母序列(e.g.(qwerty、12345或yyy99)
不包含用户名的任何部分, 用户名, 生日, 或者社会保险，或者朋友和家人的社保.g.Jill1030)

社区成员必须保护其密码的隐私. 密码不得与他人共享. 如果怀疑某个帐户或密码被泄露, 所有密码应立即更改，并将事件报告给皇冠体育服务台.

4.皇冠体育个人信息保护的第三方供应商协议

皇冠体育在选择有能力维护学院提供给他们的PI的适当安全保障的服务提供商时进行了适当的尽职调查. 每个部门的主要预算持有人负责确定那些向学院提供服务的第三方，这些第三方可以访问PI. 与这些第三方签订的所有相关合同都由皇冠体育采购部审查和批准，以确保合同包含有关保护PI的必要语言. 主要预算持有人有责任确认第三方必须维护适当的安全措施，以保护PI符合本项目和马萨诸塞州法律法规.

4.7电脑系统保障措施

技术支援服务人员在持续的基础上监视和评估保障措施，以确定何时需要增强. 书院已采取以下措施，以对抗外部风险，并确保书院网络及系统的安全:

安全用户认证协议:
- Unique passwords are required for all 使用r accounts; each employee receives an individual 使用r account.
- 多次输入密码失败后，服务器帐户将被锁定.
- 当雇员被解雇时，电脑访问密码将被禁用.
- User passwords are stored in an encrypted format; root passwords are only 访问ible by system administrators.
安全访问控制措施:
- 对包含机密数据的特定文件或数据库的访问权限仅限于在正常履行职责过程中需要访问此类文件或数据库的员工.
技术支援服务人员定期对所有服务器和计算机系统日志进行内部网络安全审计，以在合理可行的范围内发现可能存在的电子安全漏洞, 并监控系统，以防可能的未经授权的访问或披露, 滥用, 变更, 破坏, 或其他泄露大学资料的行为.
定期为所有服务器安装操作系统补丁和安全更新.
所有工作站上都安装了防病毒和反恶意软件并保持更新.

4.8员工培训

所有行政人员必须每年完成一次“保护人类”的在线安全培训. 任何教师, 联盟, 有机会接触PI的学生或合同工也需要完成这个年度培训. 强烈建议所有员工都参加培训.

另外, 用户谁是网络钓鱼攻击的受害者将被要求在LTS确定问题后2周内完成本课程, 不管他们是否已经完成了培训. 2周内未完成培训的, 他或她对大学资源的远程访问将被禁止. LTS安全团队保存所有此类培训的记录.

4.报告企图或实际违反安全的行为

任何可能或实际的未经授权的访问或披露事件, 滥用, 变更, 破坏, 或其他妥协的PI, 或违反或企图违反本计划下采取的信息保障措施, 必须立即向首席信息官报告. 首席信息官将联系数据事件小组主席——风险与合规经理——由他召集小组. 主席负责协调数据事件小组，并在他们对违规行为的响应中确定适当的行动. 的 事件小组将记录所有违规行为和随后采取的响应措施. 所有相关文件将保存在财务办公室.

有关事件响应的更多信息, 包括应对违规行为的具体程序, 看到皇冠体育数据事件响应计划.

5.0执法

任何员工或学生故意进入, 披露, 误用, 改变, 破坏, 或以其他方式危害机密或限制未经授权的数据, 或在任何其他方面未能遵守本计划的人, 会受到纪律处分吗, 这可能包括解雇员工和开除学生的情况下.

6.0政策交叉引用

以下皇冠体育的政策提供了与该项目相关的建议和指导:

7.生效日期

本书面信息安全计划于2010年2月1日实施. 修订时间:2012年5月、2014年7月、2015年6月.

学院将至少每年对该计划进行审查，并保留更改的权利, 修改, 或在其认为有必要的情况下，随时自行决定更改本计划.